Der App Store und eine Frage der ERN

Wir haben in Projekten schon viele mobile Anwendungen für unsere Kunden entwickelt. Darunter zahlreiche, bei denen eine App auf Serverdaten zugreift. Wir kennen den Weg in den Apple App Store und auch bei Google Play. Doch diesmal war es doch wieder anders und mit ungeahnten Hindernissen.

Wer wissen möchte, wie wichtig eine ERN ist, hier ist die Geschichte dazu.

Das Setup

Das Projekt passte sehr gut in unsere Industrie 4.0-Strategie – wir sollten eine mobile Geschäftsanwendung entwickeln, die Maschinendaten zur Fernüberwachung über einen Server auf eine App transferiert. Der Projektplan berücksichtigte die Besonderheiten einer App-Entwicklung und die Zuarbeiten unseres Auftraggebers waren klar definiert:

  • Accounts für den Apple App Store und den Google Play
  • Texte für die AGB (terms of use) wurden frühzeitig über die Rechtsabteilung in Auftrag gegeben
  • Developer UDIDs zum Testen bei iTunesConnect hinterlegen
  • Marketingtexte und Bilder
  • Alterseinstufungen und Vertriebsmodell

Wir erstellten noch zahlreiche Variationen an Screenshots für alle Bildschirmgrößen von Apple zur Verfügung und unser Build spuckte das apk und das ipa aus.

Der Freigabeprozess bei Apple dauert erfahrungsgemäß deutlich länger als bei Google, da die App von Apple auf Herz und Nieren geprüft wird. Wir planten etwa 10 Tage Verzögerung ein.

Länderwahl mit Folgen

Als wir nach zahlreichen Tests dann die fast fertige App in den Review-Prozess von Apple geben wollten, waren alle notwendigen Vorarbeiten vorhanden. Die App war bei Google Play inzwischen schon verfügbar.

Die Frage nach eingesetzter Verschlüsselung beantworteten wir wahrheitsgemäß mit Ja, denn die Kommunikation zwischen App und Server läuft selbstverständlich nur über HTTPS. Da die App weltweit verfügbar sein musste, wurden alle Länder gewählt.

Danach sahen wir den netten Hinweis von Apple, doch bitte eine ERN beizufügen, da dies die Bedingungen für den US App Store sind. Eine ERN? Wieso das?

Was ist eine ERN?

Da die App auf jeden Fall in den US App Store musste, kamen wir nicht umhin, uns mit der ERN zu beschäftigen. Die Encryption Registration Number (ERN) bekommt man vom Buereau of Industry and Security (1). Die ERN ermöglicht den legalen Export von Verschlüsselungssoftware in die USA.

Die Internetrecherche ergab viele Hinweise, wann man eine ERN wirklich braucht und wann nicht. Wir haben doch nur HTTPS für die Kommunikation zwischen Server und App genutzt. Die Ausnahmen galten nicht für uns, denn wir verschlüsselten selbstverständlich nicht schwach und auch nicht nur zur Anmeldung.

Also besorgten wir uns einen SNAP-R Account und füllten das Supplement No. 5 to Part 742—Encryption Registration (1) aus. Unsere Antwort auf Punkt 4 und 6 war:

  • The product (mobile app) use the standard encryption algorithms or protocols (TLS / HTTPS) of the operating system iOS.

Jetzt begann das Warten.

Eine ERN ist noch lange nicht genug

Es entstand am Ende eine Verzögerung von drei Werktagen. Dann konnten wir den Screenshot der ERN bei Apple hochladen und den Review-Prozess endlich starten.

Einen Tag später erhielten wir eine Mail von Apple. Der entscheidende Satz:

You indicated that you are intending to release in France. In order to release your app in France we will need a copy of the approved French declaration for your app, we require that you take steps to comply with French import regulations. 

Klar wollten wir die App auch in den französischen App Store bringen. Der Weg dahin war offensichtlich nicht Online (2) (3) zu bestreiten. Der Kunde stimmte zu, dass wir Frankreich vorerst aus unserer Länderwahl entfernten.

Fazit

Das ganze Thema Verschlüsselung in Apps und die besonderen Regelungen in den USA und Frankreich war uns so nicht bewusst. Wir sind bei unseren Projekten im Kontext Enterprise Moblity – und damit einhergehend der verschlüsselten Kommunikation zwischen App mit Server – um eine Erfahrung reicher. Unsere Checkliste für das nächste Projekt ist erweitert.

Apple war am Ende dann doch sehr schnell mit seinem Review und die App war pünktlich überall auf der Welt verfügbar – außer in Frankreich. Der Antrag ist mittlerweile gestellt, eine Antwort steht noch aus.

Unser Kunde ist dennoch sehr zufrieden mit dem Projekt.

Tassilo Kubitz

 

Links

(1) https://www.bis.doc.gov/index.php/policy-guidance/encryption/registration

(2) http://www.ssi.gouv.fr/archive/en/regulation/index.html#produits_crypto

(3) https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000005789847&dateTexte=#LEGIARTI000006421577

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s